技术领域本发明涉及信息安全技术,尤其涉及一种不同网络间数据安全交换系统及其方法。
背景技术:
TCP/IP技术的普及使用给人们带来了极大资源共享便利,同时也带来了黑客入侵、信息泄密等一系列网络安全问题。一方面,公安及政务等系统需要经常满足不同网络之间进行信息共享要求,解决信息孤岛的问题。另一方面,也要在信息系统开放的同时防止核心涉密网络遭受外部攻击,导致信息外泄。为了保护不同网络资源的安全,通常会实施两个网段之间的物理隔离。现有的网络安全隔离主要有以下2种方式:1、通过隔离卡技术将硬盘分为两个分区分别与不同的网络相连,但每次只能与一个网络相连,该方案需要进行系统切换,数据交换切换效率低下;2、通过网闸技术在两个系统之间设立数据缓冲区,通过电子开关的快速切换实现两个不同网段的数据交换,但隔离硬件在网络间实现数据交换时,实际上也同时连通了该进行数据交换的网络,存在安全隐患,而且安全网闸的三个设备都必须为大容量存储设备,导致网络安全隔离成本高。
技术实现要素:
本发明的目的就在于克服现有技术存在的缺点和不足,提供一种不同网络间数据安全交换系统及其方法;实现不同网络在隔离情况下进行数据交换,保证不同网络间数据交换的安全性,降低网络安全的成本;本发明的目的是这样实现的:一、不同网络间数据安全交换系统(简称系统)本系统由交换主机、源网络主机和目标网络主机组成;交换主机分别通过USB线缆与源网络主机和目标网络主机连通。二、不同网络间数据安全交换方法(简称方法)本方法是在交换主机上分别配置两个虚拟USB设备,并通过格式化后,使源网络主机和目标网络主机能够分别访问其对应USB盘符;数据交换从源网络主机交换文件拷贝到其对应虚拟USB设备中,交换主机内部将所述的虚拟USB设备交换文件自动中转到另一个虚拟USB设备中,最终使目标网络主机将其对应的虚拟USB设备中交换文件拷贝到指定位置;本方法包括下列步骤:①安全登陆到交换主机;②配置交换主机虚拟USB设备及文件系统;③切换并登陆到源网络主机;④对源网络主机数据交换文件拷贝复制到虚拟USB盘符中;⑤切换并登陆到目标网络主机;⑥在目标网络主机将虚拟USB盘符中文件拷贝到指定位置;⑦拷贝结束后,系统手动或者自动切换到交换主机界面,交换主机内存数据自动清除。本发明具有下列优点和积极效果:①网络主机间数据拷贝未经过TCP/IP网络,达到了数据安全隔离作用;②通过交换主机内部磁盘进行中转,减少了外部中转存储介质(如外置USB)丢失和病毒入侵等安全隐患;③通过对中转数据进行实时权限及进度管理,保护了中转存储介质的安全性。适用于不同网络主机文件的交换拷贝。附图说明图1是本系统的结构方框图,图中:100—交换主机,200—源网络主机,300—目标网络主机;图2是本系统交换主机的模块交互图,图中:101—USB数据收发处理,102—内存虚拟USB管理,103—ATA/UFI传输处理,104—协议转换及传输,105—内存文件系统,106—内存管理,107—文件拷贝控制;图3是本系统交换主机的内存使用空间图,图中:001—第1虚拟USB空间,002—第1文件系统元数据空间,003—第1文件系统数据空间,004—第2虚拟USB空间,005—第2文件系统元数据空间,006—第2文件系统数据空间;图4是本方法的流程图;图5是本办法步骤④的子流程图。英译汉1、TCP/IP:TransmissionControlProtocol/InternetProtocol的简写,中译名为传输控制协议/因特网互联协议,又名网络通讯协议,是Internet最基本的协议、Internet国际互联网络的基础,由网络层的IP协议和传输层的TCP协议组成。TCP/IP定义了电子设备如何连入因特网,以及数据如何在它们之间传输的标准。协议采用了4层的层级结构,每一层都呼叫它的下一层所提供的协议来完成自己的需求。通俗而言:TCP负责发现传输的问题,一有问题就发出信号,要求重新传输,直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台联网设备规定一个地址。2、USB:UniversalSerialBus,通用串行总线。具体实施方式下面结合附图和实施例详细说明:一、系统1、总体如图1,本系统由交换主机100、源网络主机200和目标网络主机300组成;交换主机100分别通过USB线缆与源网络主机200和目标网络主机300连通。2、功能部件1)交换主机100所述交换主机100是指具有计算和内置存储能力(内置FLASH介质单元或内置磁盘介质单元)的物理主机,具备USB接口、视频接口和周边必备的鼠标键盘接口,具备KVM多电脑控制器的基本功能(两台或多台电脑主机连接该设备,可以是使用该设备上键盘和鼠标进行切换控制,并且共享显示屏、鼠标和键盘等外设),并且部署了基本相关的查杀木马病毒软件;具体地说,如图2,交换主机100内嵌的软件模块包括USB数据收发处理101、内存虚拟USB管理102、ATA/UFI传输处理103、协议转换及传输104、内存文件系统105、内存管理106;(1)USB数据收发处理101,负责接收源网络主机200需要交换的数据及将接收到的数据发往目标网络主机300;(2)内存虚拟USB管理102,负责在内存中创建虚拟USB设备;(3)ATA/UFI传输处理103,接收及发送交换数据的USB协议处理模块;(4)协议转换及传输104,负责将ATA/UFI协议数据转化为文件系统系统块设备读写数据流方式;(5)内存文件系统105,是指内存中加载的第1文件系统(识别交换文件的源网络主机文件系统)或第2文件系统(目标网络主机拷贝目录的文件系统),包含数据拷贝的内存读写问题的空间分配和文件管理功能;(6)内存管理106,负责交换主机拷贝数据临时空间的申请及释放,也包括固定内存的规划使用;进一步,如图3所示的内存空间,本系统这要涉及到第1虚拟USB空间001、第1文件系统元数据空间002、第1文件系统数据空间003、第2虚拟USB空间004、第2文件系统元数据空间005和第2文件系统数据空间006;并且,交换文件是从源网络主机拷贝到第1文件系统数据空间中,再从第1文件系统数据空间拷贝到第2文件系统数据空间中,再由第2文件系统拷贝到目标网络主机目录中;更进一步,为了节省内存空间和进行拷贝进度管理,第1文件系统数据空间和第2文件系统数据空间设置为环形缓冲方式,在进行数据交换过程中,所述文件拷贝控制模块会实时记录文件拷贝进度,当USB虚拟设备未准备好或者读写过程中出现异常,实时记录每个环节的拷贝进度;并且,环形缓冲区内存设置为读写互斥模式,防止内存数据被恶意修改。(7)文件拷贝控制107,负责发起文件同步命令,目的是将第1文件系统中交换数据同步到第2文件系统中。源网络主机200交换文件通过交换主机100将文件中转到目标网络主机300,其交互关系是:USB数据收发处理101接收源网络主机200交换数据,依次通过内存虚拟USB管理102、内存管理106、内存文件系统105获取文件读写句柄;并且USB数据收发处理依次通过ATA/UFI传输103、协议转换及传输104、内存文件系统105将文件写到第1文件系统区域(包括更新第1文件系统元数据区域及第1文件系统数据区)中;然后,文件拷贝控制107通过内存文件系统105及内存管理106将交换数据文件从第1文件系统区域中转到第2文件系统区域中。2、源网络主机200源网络主机200是具备计算和存储能力(或携带存储介质)的主机或者通过网络访问能够获取网络中其它主机资源的设备,并且部署了基本相关的查杀木马病毒软件及防火墙产品;源网络主机200通过USB线缆与交换主机连接(无网络线缆连接),交换文件通过USB接口从源网络主机中转到交换主机中;2、目标网络主机300所述目标网络主机是具备计算和存储能力(或携带存储介质)的主机或者通过网络访问能够获取网络中其它主机资源的设备,并且部署了基本相关的查杀木马病毒软件及防火墙产品;所述的目标网络主机通过USB线缆与交换主机连接(无网络线缆连接);交换文件是通过USB接口最终交换到目标网络主机。本数据安全交换系统配合KVM多电脑切换功能是最佳实践方法,本说明书未描述交换主机多电脑切换功能,该基本功能(即源网络主机、目标网络主机鼠标、键盘接口连接到交换主机,通过交换主机键盘或鼠标接口可以切换到源网络主机或者目标网络主机,并将画面显示交换主机屏幕上)可以通过增加市场通用的切换器实现组装,本说明书中其它未作详细描述的内容属于本领域专业技术人员公知的现有技术。二、数据安全交换方法如图3,本方法包括下列步骤:①安全登陆到交换主机-11,所述交换主机拥有自己独立的操作系统,当系统启动加载时交换主机各自完成操作系统的自我引导,其次,源网络主机及目标网络主机完成自由操作系统引导,并且可以通过共享的鼠标键盘进行切换到不同的系统界面;所述的完全登陆,是指通过操作人员同时具备交换主机、源网络主机及目标网络主机的操作权限,即同时通过不同密码登陆或USBKEY方式登陆;②配置交换主机虚拟USB设备及文件系统-12,所述的虚拟USB设备是指在内存中模拟两个的虚拟USB设备,分别与USB连接的源网络主机及目标网络主机对应;所述的文件系统是指内存中加载源网络主机对应的第1文件系统和目标网络主机对应的第2文件系统相关的超级块等元数据信息,并将两个虚拟设备格式化对应的第1文件系统和第2文件系统;当切换到源网络主机或者目标网络主机后,虚拟USB设备以盘符形式出现;此后,通过源网络主机及目标网络主机能够访问到各自的虚拟USB设备;更进一步,本数据安全交换系统如果当源网络主机或目标网络主机对应虚拟USB设备配置不成功,或者它们其中之一对应的文件系统格式化失败,交换主机文件拷贝模块将删除虚拟USB设备,此时无法进行后续的数据交换工作,这样尽量保证了数据共享的安全;③切换并登陆到源网络主机-13,④对源网络主机数据交换文件拷贝复制到虚拟USB盘符中-14;所述的拷贝复制是指通过键盘鼠标选中源主机数据交换数据拷贝到虚拟USB设备中,即数据从网络主机交换到交换主机中:如图5,从源网络主机拷贝到交换主机处理流程:A、源网络主机键盘/鼠标下发拷贝命令-21;B、交换主机USB数据收发处理模块通过内存虚拟USB管理模块获取虚拟设备信息-22;所述的虚拟设备信息包括获取虚拟设备大小、文件系统数据空间位置、文件系统块大小等信息;C、ATA/UFI传输处理模块接收USB数据收发处理模块存储数据-23;D、协议转换及传输模块将ATA/UFI协议数据转换文件系统存储数据流-24;所述的文件系统存储流是指打开虚拟USB设备文件句柄后,生成文件名,并将ATA/UFI协议字段经过拆分、组装为数据流以块设备数据流方式预拷贝写到该文件中;所述的预拷贝是指交换数据在第1文件系统中或者第2文件系统中,还未拷贝到目标网络主机的阶段;E、内存文件系统将数据流预拷贝到到第1文件系统分配的内存中-26;内存文件系统同时记录文件大小,已经内存空间使用情况;F、文件拷贝控制模块检测到第1文件系统数据后,获取文件名及第2文件系统数据空间地址-27;G、在第2文件系统创建所述文件名,将第1文件系统中的文件预拷贝到第2文件系统中-28;在预拷贝阶段,源网络主机拷贝到第1文件系统及第1文件系统与第2文件系统进行数据预拷贝阶段,文件拷贝控制模块实时记录文件拷贝大小,根据第1文件系统及第2文件系统数据空间区域大小限定预拷贝时间,在交换数据未启动拷贝到目标网络主机阶段,交换系统自动检测超时,系统自动将内存数据进行清零处理,尽量保证数据拷贝过程中的安全,此时数据交换需要在源网络主机端进行重新拷贝操作;⑤切换并登陆到目标网络主机-15;⑥在目标网络主机将虚拟USB盘符中文件拷贝到指定位置-16,所述的文件拷贝包括通过内存虚拟USB管理模获第2文件系统记录文件信息,通过文件系统块设备读写接口以流的方式将文件拷贝到指定位置,其原理和处理方法与从源网络主机拷贝交换文件到虚拟USB盘符中流程类同;特别地,在拷贝到指定位置过程中出现中断或异常,实时记录在文件拷贝控制模块中,方便重新拷贝或者断点续传;⑦拷贝结束后,系统手动或者自动切换到交换主机界面,交换主机内存数据自动清除-17。